Inchiesta speciale/2
Senza Bavaglio
novembre 2020
Il voto online di Inpgi è avvenuto sulla piattaforma Eligo dell’azienda ID Technology Srl con sede a Milano. All’allegato 1 è possibile leggere le spiegazioni sulla funzionalità della piattaforma di voto online fornita da Technology Srl a Inpgi.
All’allegato 2 figura un’offerta di contratto per Eligo trovata in rete.
Le ultime versioni del sito di Eligo a partire dall’estate 2020 riportano riferimenti al GDPR (Regolamento Generale sulla Protezione dei Dati) e alle pronunce del Consiglio d’Europa https://www.eligo.social/istruzioni-democratiche-evoting-handbook/ anche se si dice che le indicazioni riguardano solo il voto a suffragio universale.
Manuali e raccomandazioni
Noi di Senza Bavaglio non la pensiamo così. Anzi sarebbe opportuno prendere spunto. Il manuale dell’e-voting del Consiglio d’Europa (da non confondere con l’Unione Europea), handbook appunto, spiega che:
– il sistema può essere organizzato in modo che il votante possa cambiare il proprio voto a seggi aperti (per evitare il voto di famiglia o clan);
– ciascun votante dovrebbe poter rivedere il suo voto anche dopo lo spoglio per garantire la trasparenza e permettere ai singoli di controllare che il proprio voto non sia stato manomesso.
– è buona prassi la creazione di una task force in sede di spoglio del voto (allegato 4 e 5 “E-voting handbook – Key steps in the implementation of e-enabled elections” pubblicato dal Consiglio d’Europa a novembre 2010 e nel documento “Recommendation CM/Rec(2017)5 of the Committee of Ministers to member States on standards for e-voting” adottato dal Comitato dei Ministri del Consiglio d’Europa il 14 luglio 2017).
ll Comitato dei ministri del Consiglio d’Europa ha creato poi un gruppo di lavoro detto Comitato di esperti in standards legali, operativi e tecnici per l’e-voting (CAHVE) che ha prodotto un documento nel 2017, detto CM(2017)50-add2final (https://rm.coe.int/1680726c0b). A proposito del voto elettronico a distanza, vale a dire quello che avviene online da postazione remota e non la votazione che si inserisce online ma usando un seggio fisico e recandosi fisicamente quindi al seggio, si raccomanda che:
1 – avvenga prima del voto cartaceo ma abbastanza a ridosso. I tre giorni tra votazione online e fisica in occasione del voto Inpgi non sembra un “a ridosso”.
2 – sia possibile per chi non ha potuto votare online a distanza, votare in un luogo fisico per poter comunque esprimere il suo voto in caso di impedimenti.
Il Consiglio d’Europa suggerisce che l’Autorità elettorale pubblichi la lista dei software usati nelle elezioni e relativi aggiornamenti; che osservatori possono prendere parte a verifiche sia prima che dopo il voto; che prima del voto un’equipe di tecnici può prendere parte a valutazioni sul sistema e i suoi componenti. Il documento insomma insiste sulla totale trasparenza dell’e-voting.
Il 6 novembre 2020 un gruppo di colleghi di Senza Bavaglio ha dunque intervistato l’amministratore delegato di ID Technology e di Eligo, Luigi Pugliatti. A proposito di osservatori e equipe di tecnici, Pugliatti ammette che l’Università di Bologna ha analizzato il sistema prima del voto: “abbiamo ospitato commissione tecnica e verificato minuto per minuto. Questo vuole dire entrare nelle righe di programma. Va fatto con noi. Diventa un costo non banale”.
Perchè i voti online non corrispondono a quelli cartacei
Sulle discrepanze tra voto cartaceo e online alle ultime elezioni dell’Inpgi, Pugliatti ha risposto che: “Nelle penultime votazioni Inpgi, quelle del 2016, c’è stata una criticità rispetto al trasferimento delle credenziali che venivano mandate via raccomandata e arrivavano a blocchi nelle redazioni e sottrarle era facile. Nel 2020 tutto è avvenuto via mail e quindi questa appropriazione non era più possibile. Nelle elezioni della Romana poi c’era anche un sms più la mail, quindi era un doppio controllo. Il sistema non accetta più di un numero di telefonino a votante. Quindi chi vuole votare per dieci persone dovrebbe anche avere a disposizione dieci telefonini. Comunque il sistema accetta solo i votanti dell’elenco degli aventi diritto. Non accetta due voti dalla stessa persona. Chi ha già votato non ha nuovo accesso”.
Le specifiche tecniche del voto Inpgi 2020 redatte da IP Technology per Inpgi (sempre allegato 1 pag. 16 e 17) dicono infatti che “ogni elettore avente diritto di voto può accedere alla piattaforma utilizzando il proprio Codice iscritto e relativa password”. Quindi “Eligo richiede all’elettore di indicare il proprio numero di cellulare dove recapitare un codice Pin per proseguire con l’accesso al sistema”. Insomma ci sono due fattori di autenticazione: il codice iscritto e il Pin via cellulare.
Insistiamo però con Pugliatti che c’è una strana differenza tra una lista che ha la maggioranza nel cartaceo e poi non si ritrova le stesse proporzioni sull’online: “Può esserci una manipolazione in termini di scambio di credenziali. Ma francamente escludo che qualcuno abbia hackerato il sistema Pec delle credenziali. Per Inpgi non so dire, noi non entriamo nel merito del risultato, noi siamo quelli che contano i numeri. Non ci è stata chiesta nessuna analisi particolare tipo voto massivo da un certo Ip. Comunque alla fine delle elezioni noi abbiamo consegnato tutto il database delle elezioni a Inpgi”.
“Eligo è a prova di hacker”
Pugliatti insiste sulla sicurezza di Eligo: “Noi sottoponiamo la piattaforma a penetration test. Ne abbiamo concluso uno la settimana scorsa. Tra i nostri clienti ci sono aziende nell’aerospaziale e settore farmaceutico e banche che hanno policy molto stringenti. Dietro al sistema c’è una struttura di sicurezza, c’è un firewall, ci sono persone autorizzate ad entrare, c’è un controllo dei log e degli Ip, c’è un controllo sulle anomalie per cui un eventuale tentativo di ingresso viene intercettato. Quindi escludo che il nostro sistema sia hackerabile. Il nostro prodotto è certificato sul marketplace di Agid (Agenzia dell’Italia digitale).
Infatti da web-archive.org, ritroviamo che il 17 luglio 2020 sul sito eligo-social è stata aggiunta la voce ‘Privacy e Cloud” ed è stata inserita anche la certificazione di Eligo come Software as a service (Saas), vale a dire un software usato dalla pubblica amministrazione. Questa certificazione viene data dall’Agenzia per l’Italia digitale, ma in realtà si tratta di una autocertificazione. https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2020/09/25/qualificazione-cloud-service-provider-csp-software-service-saas-il-cloud-pa
http://web.archive.org/web/20200815100142if_/https://cloud.italia.it/marketplace/service/750
La “verifica” del Garante Privacy è del 2011
Poi ID Technolgy vanta anche una verifica del Garante, ma risale al 2011, ben prima del GDPR.
Nell’allegato 1, come sul sito attuale di ID Technology, a pagina 4 si legge che:
“il servizio di voto Eligo è stato verificato dall’ente Garante per la protezione dei dati riguardante la conformità del Servizio di disciplina di cui al D.lgs, n. 196/2003 relativa ai trattamenti dei dati personali e alla sicurezza e anonimato del voto, che l’ha ritenuto conforme alla normativa sia per quanto attiene il processo di trattamento dei dati sia per la segretezza delle preferenze espresse durante le votazioni”.
Allora abbiamo chiesto informazioni all’ufficio del Garante per la privacy il 4 luglio 2020 (allegato 3) . Il 6 luglio dall’ufficio del Garante abbiamo avuto la seguente risposta:
“Gentile Signore,
il Garante per la protezione dei dati personali ha verificato la piattaforma Eligo nel lontano 2011, sulla base informazioni allora disponibili e della normativa in vigore prima del Gdpr. A tal proposito, le segnaliamo che non ha avuto modo di trovare provvedimenti relativi ad Eligo perché Il Garante, nel 2011, non ha adottato alcun provvedimento specifico relativo al tema da lei citato.
In merito a quanto scritto sul loro sito, l’Autorità ha già chiesto a Eligo di precisare che la nostra valutazione risale a quel periodo e non si riferisce necessariamente alla situazione attuale.”
Pugliatti a domanda risponde che “la piattaforma è stata verificata dal Garante nel 2011 per quanto riguarda la segretezza e l’anonimato del voto. Non ha a che vedere col GDPR”. Così facendo però si inganna un lettore non esperto in Privacy.
Le garanzie di Privacy per il votante
Le garanzie sulla tutela dei dati personali imposte anche dal Regolamento europeo sulla protezione dei dati GDPR 679/2016 in Eligo ci sono: “il titolare dei dati rimane l’associazione, l’ente – dice Pugliatti – Noi siamo responsabili esterni del trattamento dei dati per un contratto ai fini della votazione. Ci impegniamo entro 30 giorni a consegnare tutti i dati del database al committente. Consegniamo log, ip e tutti i voti al committente. Successivamente verbalizziamo la cancellazione di tutti i dati dai nostri sistemi. Non teniamo copia e non li cediamo a terzi”.
Torniamo quindi a parlare dei problemi legati all’identificazione del votante. Come ha denunciato Pierangelo Maurizio di Roma, ci sono stati diversi casi in cui l’Inpgi ha dato le credenziali di un altro votante, dopo che l’interessato aveva perso le password delle proprie credenziali di voto. “Se Eligo avesse gestito le credenziali direttamente: uno manda la richiesta a una commissione, la commissione verifica chi è il richiedente e il sistema rigenera le credenziali – dice Pugliatti – se quello ha già votato il sistema non rigenera la password. Quindi non esiste che uno possa chiamare e avere le credenziali di un altro. Forse in Inpgi la commissione ha sbagliato. È carente il processo. Se l’identificazione avviene in maniera sicura e i processi sono sicuri, il sistema in automatico non manda credenziali a nessuno”.
Quindi come garantite che Eligo non sia hacherabile? Pugliatti: “Prima di tutto quel che dice il Consiglio d’Europa sono raccomandazioni, desiderata per il voto negli Stati. Alcune sono irrealizzabili come il fatto che il votante possa rivedere il suo voto anche in sede di scrutinio. Comunque non esiste una certificazione per il voto online. Inoltre nessuno dei Paesi Ue ha mai fatto votazioni pubbliche online. Per noi i principi che valgono delle Raccomandazioni del Consiglio sono che il voto deve avvenire in maniera semplice ed essere segreto. A mio parere il voto nel sistema è immodificabile: se un hacker riuscisse a passare tutti i controlli, in quanto dotato di apparecchiature sofisticate e potenti, comunque non riuscirebbe ad accedere alla basedata dei voti che sono crittografati ed anonimi. Le chiavi le ha in mano solo la commissione elettorale, nessuno è in grado di accedere a quel sistema, tanto meno di leggere i dati e tanto meno di modificarli. Neppure il committente”.
Senza Bavaglio ha sentito diversi esperti di tecnologia. Uno ha un’azienda specializzata in intrusion test e sicurezza informatica e spiega che in teoria si può intervenire sulla piattaforma di voto durante il voto. Basta un portatile o un computer e basta avere le chiavi di accesso. Ovviamente è un comportamento tutt’altro che legale.
Un altro ha curato server per primari organismi nazionali e si occupa di sistemi e sicurezza da una vita e lavora anche come consulente su frodi perpetrate online per diverse procure italiane. Ci ha detto che la vulnerabilità dei sistemi di votazione online è legata a semplici fattori: “Prima di tutto la piattaforma deve essere criptata per design (vale a dire in fase di progettazione). Al fine di ottimizzare l’autonomia e la sicurezza del voto online dovrebbero essere costruiti diversi data base criptati in modo che se l’amministratore introducesse delle modifiche queste non andrebbero sugli altri database e quindi le anomalie potrebbero essere riscontrate subito. In pratica, dal punto di vista tecnico, si creano dei file di log e mentre si sta votando la copia viene ribattuta su un altro server che costituisce un altro file di log, su cui nessuno può intervenire. I server possono essere diversi e replicati nel numero che interessa. Se il voto è avvenuto in maniera corretta tutti i file di log devono risultare uguali. Secondo, oggi la sicurezza informatica è “garantita” da un tecnico certificato. Non da un’azienda. Altrimenti si può intervenire in maniera pro-attiva per pilotare il voto e manometterlo”.
Il Ruolo della commissione elettorale e la chiave per lo spoglio
Come faccio quindi ad essere sicuro che la commissione elettorale agisca correttamente, specie quando è in mano a un gruppo di potere? “Noi diamo un’unica chiave prodotta dal sistema alla commissione elettorale. Quella è l’unica chiave in grado di farvi accedere al database e far accedere agli scrutini.- spiega Pugliatti – E’ come se mettessi una chiave nella mia cassaforte e un’altra la do a lei. Quindi senza chiave i dati non sono leggibili. Sottolineo che il voto finisce in una scheda anonima, l’originale viene crittografato, non è più leggibile, né modificabile. Se qualcuno manipola i dati o avviene prima delle elezioni perché si mettono d’accordo o qualcuno magari raccoglie credenziali e vota per tutti. Una volta che esprimete il voto, il committente è l’unico che ha il database. Solo in fase di scrutinio i dati vengono messi in chiaro. In pratica quando chiudo le votazioni attivo lo scrutinio. Voi come commissione elettorale decidete di aprire risultati prima o dopo quello cartaceo, è una scelta vostra”.
Inpgi, il notaio e chi ha gestito lo spoglio
All’Inpgi qualcuno della commissione può aver saputo il risultato del voto telematico prima di quello cartaceo? “Non credo proprio – dice Pugliatti – A meno che non abbiano provveduto allo scrutinio dei voti online prima di quello cartaceo… ma noi non ne sappiamo niente. Non mi ricordo più in Inpgi. Insomma lo scrutinio è questione di regolamento e di scelte del committente”.
Nell’allegato 1 risulta che Eligo crittografa i voti registrati nell’urna digitale: “i voti sono registrati e crittografati secondo una chiave pubblica e possono essere de-crittografati esclusivamente tramite una opportuna chiave privata…la chiave di de-crittazione dei voti viene consegnata in anticipo rispetto all’apertura del voto al notaio identificato da Inpgi che la dovrà sottomettere al sistema per le procedure di spoglio previste” e “il responsabile incaricato di mantenere la chiave privata (il notaio) conserverà la stessa (salvata in un opportuno file) fino alla chiusura delle votazioni, momento durante il quale tale chiave dovrà essere inviata al sistema di voto eligo per effettuare lo spoglio” (pag.21). Che cosa c’entra allora la commissione? Pag. 22: “a seguito della chiusura di ogni votazione, e richiesto lo scrutinio dei voti, il sistema produrrà per la commissione elettorale i report per la determinazione degli eletti di ogni organo”, compreso “l’elenco nominale dei candidati disposti in ordine decrescente di preferenze ricevute”. Quindi secondo il documento tecnico allegato 1 lo spoglio lo fa Eligo una volta inserita la chiave in possesso del notaio.
Così insistiamo sull’eventualità che qualcuno potrebbe aver fatto lo spoglio del voto online prima di quello cartaceo. Finalmente Pugliatti ammette l’evenienza che ci possano essere delle falle sullo spoglio: “se si sono messi tutti d’accordo fra di loro e hanno fatto spoglio autonomo, ne rimane traccia nel report. Se andate a guardare il pdf dello spoglio non è modificabile. C’è scritto data apertura delle schede, elenco di chi ha votato, elenco aventi diritto, risultato di voto e orario di scrutinio. Quindi se c’è uno scrutinio intermedio e poi ne ho fatto un altro si vedrebbe comunque, questa cosa viene intercettata dal sistema. Quello è un log. Io non credo che i dati siano manipolabili nel sistema, né che nessuno possa non accorgersi che arriva un hacker. Certo il Pdf (del risultato elettorale, ndr) è falsificabile: chiunque può vedere rispetto a un certo pdf se hanno falsificato il pdf dello scrutinio”.
Ricordiamo che alla fine delle elezioni 2020 Eligo ha consegnato tutti questi documenti all’Inpgi.
Senza Bavaglio
@sbavaglio
(2 – continua)
Qui sotto la prima puntata di questa inchiesta
I rischi del voto elettronico all’Ordine e gli inquietanti scenari comparsi all’INPGI/1
Leave a Comment